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DISPOSITIF DE CONTROLE DE TRAITEMENTS ASSOCIES A DES FLUX 
AU SEIN D'UN RESEAU DE COMMUNICATIONS 



L'invention concerne le dornaine des communications entre terminaux 
d'un reseau de communications, et plus particulierement la gestion de 
traitement(s), comme par exemple la qualite de service et la securite, 
associe(s) a des donnees duplications echangees entre terminaux. 

On entend ici par « terminal », tout equipement de reseau, . et 
notamment les equipements d'utilisateurs, tels que les ordinateurs fixes ou 
portables, les telephones fixes ou mobiles, les routeurs ou les serveurs. ■ ' , 

De nombreuses applications informatiques, comme par exemple la 
voix sous IP (ou VoIP), le multimedia sous IP (ou MMolP) ou ftp, requierent 
pour fonctionner un ou piiisieurs traitements, comme par exemple un certain 
niveau de qualite de service (ou QoS pour « Quality of Service ») et/ou r un 
certain niveau de securite (authentification et/ou cryptage): Par exemple, dans 
un reseau satellitaire ou sans fil ce sont generalement les stations ;Se 
communications qui sont chargees d'associer une qualite de service et/ou line 
securite a des donnees d'une application choisie, qu f ils ont regues d|un 
terminal source et qui sont destinees a un terminal destinataire. ^ 

Pour effectuer une telle association, une station de communications, 
comme par exemple un terminal de satellite, ne dispose que des informations 
contenues dans les donnees regues. Par exemple, dans le cas de paquets de 
donnees IP la station de communications dispose des adresses IP source et 
destinataire,. des ports source et destinataire, ainsi qu'eventuellement d'un. 
marquage, par exemple de type Diffserv. 

Or,- comme le sait I'homme de Tart, les adresses IP source -et 
destinataire ne permettent d'identifier.que des terminaux, voire 'un reseau, 
mais en aucun cas une application. . ■ 

Par ailleurs, quelques ports sont recommandes pour certaines 
applications, comme par exemple le port 25 pour le courrier eiectronique (ou 
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« e-mail ») et le port 80 pour I'lnternet (ou « web »), mais I'attribution qui 
resulte de telles recommandations s'effectue generalement de fapon 
dynamique ou negociee via un canal de controle (comme par exemple ftp, 
h323 ou sip). Or, si I'on ne peut pas espionner ce canal de controle par un 
suivi des connexions (ce qui necessite de connaTtre le protocole propre a 
chaque application, lequel est souvent crypte), il est impossible de determiner 
Tapplication concernee. 

Pour tenter d'ameliorer la situation, il a ete propose de doter certaines 
applications d'un moyen ieur permettant de preciser soit leurs besoins en 
matiere de qualite de service, soit Ieur type de trafic. Mais, la precision de la 
qualite de service requiert I'utiltsation du protocole RSVP, d'un reseau de 
routeurs supportant RSVP et de libraries specifiques, si bien qu'elle n'est 
quasiment jamais effectuee. Par ailleurs, le type de trafic peut etre precise en 
utilisant le protocole Diffserv dont I'implementation est relativement simple, 
mais qui est tres peu utilise dans ia pratique, et ne garantit pas I'homogeneite 
des traitements. 

Pour permettre le transport des donnees IP en mode securise, il a 
egalement ete propose un algorithme de melange d'octets appele 
« scrambling DVB-RCS » pour la securite du niveau deux.(selon le modele en 
couches OSI) et le protocole IP Sec en mode de connexion point-a-point (ou 
« unicast ») ou point-a-multipoint (ou « multicast ») pour la securite du niveau 
trois IP (selon le modele en couches OSI). Cependant, les flux de donnees IP 
a crypter doivent etre configures de fagon statique en fonction des adresses 
source et destinataire qui leurs sont associees, et la securite est de type 
<< tout ou rien » entre deux terminaux d'un reseau ou deux reseaux. 

En outre, pour permettre le support de -la qualite de service (QoS), il a 
ete propose soit d'utiliser des profils de QoS preetablis associes a chaque 
terminal, soit d'effectuer des, configurations, manuelles, soit encore d'etablir 
des communications dynamiques entre implication .concernee et le serveur 
central du reseau satellitaire (ou NCC pour « Network Control Center »). Mais, 
dans la premiere situation il est tres difficile, de differencier.de fagon 
dynamique les flux IP de types temps reel et standard (ou « best-effort »), 
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dans la deuxieme situation la correspondance entre les differents types de 
flux IP et les QoS associees doit etre etablie manuellement en fonction de 
certaines adresses source et destinataire, et dans la troisieme situation les 
applications doivent etre modifiees de maniere a pouvoir interagir avec le 
NCC, alors meme que la majorite d'entre-eiies ne sont pas facilement 
modifiables. 

II en resulte que la majorite des applications se contentent de la QoS 
et/ou de la securite configuree(s) statiquement pour leur hote. 

[.'invention a done pour but de remedier a tout ou partie des 
inconvenients precites. 

Elle propose a cet effet un dispositif dedie au controle de 
traitement(s), tels que la qualite de service (QoS) et la securite, associe(s) a 
des flux de donnees • issus duplications, au sein d'un reseau de 
communications comprenant des stations de communications, d'une pat£t, 
couplees a des terminaux de communications munis d'au moins une 
application et d'un noyau (ou systeme d'exploitation) contenant des donnees 
d'informations representatives de ces applications, et d'autre part, capablgs 
d'echanger entre-elles des flux de donnees provenant des terminaux. f |le 
communications. 

Ce dispositif de controle se caracterise par le fait qui! comporte : 
des moyens de traitement charges, lorsqu'ils regoivent un message 
designant une application, de delivrer des donnees. de sen/ice 
representatives d'au • moins un traitement associe a cette application 
* designee, ♦ ■ 

- des moyens ^extraction charges, lorsqu'ils regoivent un flux -de donnees 
" emis par un- terminal de communications, d'acceder au noyau de ce 

terminal afiri de determiner I'application associee a ce flux regu, puis de 
" delivrer aux moyens de traitement un message designant -I'application 
determinee, et * 

- des moyens 'de controle charges, lorsqu'ils regoivent des donnees de 
service delivrees par les moyens de traitement, de delivrer des donnees de 
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configuration permettant au moins un traitement adapte aux besoins de 
('application associee au flux regu par la station de communications a 
laquelle est couple le terminal dont est issu le flux. 

Preferentiellement, chaque terminal de communications du reseau est 
equipe de moyens d'extraction et de moyens de traitement, et chaque station 
de communications est equipee de moyens de controle. Les moyens de 
controle des stations peuvent fonctionner de fagon autonome, ou de fagon 
distribute. Dans ce dernier cas, ils delivrent leur donnees de configuration a 
reception d'une autorisatton (ou confirmation) delivree par un serveur central 
tel qu'un gestionnaire de bande passante (ou « bandwidth broker ») ou un 
NCC (pour « Network Control Center »), ou encore un serveur de cles charge 
de distribuer des cles pour securiser des liens (ou liaisons). 

Le dispositif de controle selon ['invention pourra comporter d'autres 
caracteristiques complementaires qui pourront etre prises separement et/ou 
en combinaison, et en particulier : 
: - des moyens d'extraction capables, lorsque le noyau de chaque terminal de 
communications comporte une interface de controle en temps reel des flux 
reseaux associes aux applications, et lorsqu'ils regoivent un flux de 
donnees, d'acceder a r interface de controle afin de determiner I'application 
associee au flux regu ; 
- des moyens de memorisation pouvant stocker une table de 
correspondance entre les applications et les donnees de service. Dans ce 
cas, les moyens de traitement sont charges, lorsqu'ils regoivent un 
message designant une application, d'acceder aux moyens de 
* memorisation afin de determiner des donnees de service stockees en 
~ correspondance de ^application designee. Par ailleurs, lorsqu'il n'existe pas 
de donnees de services stockees dans les moyens de memorisation en 
correspondance d'une application designee, les moyens- de 'traitement sont 
p r eferentiellement agences de maniere a adresser a un utilisateur, via 
['interface graphique du terminal de communications dans lequel sont 
implantes les moyens d'extraction, un message lui demandant de fournir 
les donnees de service associees a I'application designee ; 



1er depot 

5 



des moyens d'extraction charges de mettre a jour la table de 
correspondance en fonction d'informations regues, par exemple, sous la 
forme d'un fichier de configuration ou d'une interface graphique du terminal • 
de communications dans lequel sont implantes les moyens d'extraction ; 
des moyens d'extraction implantes preferentiellement dans Tune des piles 
de protocoles du noyau de chaque terminal de communications ; 
des moyens de controle agences, lorsque chaque station de 
communications possede au moins une pile de protocoles agencee en 
couches, dont une couche MAC, et lorsqu'ils regoivent des donnees de 
service, pour delivrer des donnees de configuration permettant de 
configurer la couche MAC en fonction des besoins associes a un flux a 
transmettre ou a recevoir ; 

des moyens de traitement capables de delivrer aux moyens de controle 
des donnees de service representatives d'au moins un traitement, comme 
par exemple la qualite de service et/ou la securite, associe(s) a des flu>c a 
jecevoir d'une application implantee dans un terminal de communications 
distant; * fc 

- des moyens de traitement et des moyens de controle capables d'echancjer 
des* messages de service (contenant les donnees de service) selon^un 
protocole d'echange choisi au moins parmi un protocole proprietaire, le 
protocole SNMP, le protocole XML et le protocole RSVP. 

* (.'invention porte egalement, d'une premiere part, sur un terminal de 
communications comprenant des moyens d'extraction et des moyens de 
traitement d'un dispositif du type de celui presente ci-avant, d'une deuxieme 
part, sur un terminal de communications comprenant un dispositif du type de 
celui * presente ci-avant, d'une troisieme part, sur une station de 
communications, par exemple un terminal de satellite, equipee de moyens de 
controle d'un dispositif du type de celui presente ci-avant, et d'une quatrieme 
part, sur un reseau de communications, equipe de.tels terminaux et/ou de 
telles stations de communications et de preference choisi parmi les reseaux 
satellitaires et les reseaux sans fit • 
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D'autres caracteristiques et avantages' de Tinvention apparaTtront a 
l'examen de la description detaillee ci-apres, et des dessins annexes, sur 
lesquels : 

- la figure 1 illustre de fagon schematique une partie d'un reseau de 
communications equipe de dispositifs de controle selon I'invention, et 

- la figure 2 est un diagramme chronologique illustrant de fa<?on 
schematique un exemple d'utilisation du protocole RSVP pour la 
securisation d'une liaison satellite. 

Les dessins annexes pourront non seulement servir a completer 
I'invention, rnais aussi contribuer a sa definition, le cas echeant. 

On se refere tout d'abord a la figure 1 pour decrire, a titre d'exemple 
illustratif, un reseau de communications de type satellitaire equipe d'un 
dispositif selon invention. Bien entendu, Tinvention n'est pas limitee a ce type 
de reseau. Elle concerne en effet tous les types de reseau capables 
d'effectuer au moins un traitement sur les flux de donnees (comme par 
exemple la qualite de service (ou QoS), la priorite, la securite, le filtrage et 
analogues) et notamment les reseaux sans fit, comme par exemple les 
reseaux locaux sans fil (ou WLAN pour « Wireless Local Area Network »), les 
boucles locales radio (ou BLR), et les acces hertziens points a multipoints. 

Le reseau de communications satellitaire illustre comprend, de fagon 
tres schematique, une multiplicite de stations de communications STi (ici i = 1 
et 2, mais il peut prendre toute autre valeur superieure a deux)' raccordees a 
des terminaux de communications UEi-k (ici i = 1 et 2, et k = 1 et 2, mais ils 
peuvent prendre toute autre valeur superieure ou inferieure a deux) et 
couplees entre-elles par au moins un satellite de communications SAT. 

II est important de noter qu'un terminal de communications UEi et une 
station de communications STi peuvent etre regroupes dans un seu! et meme 
eq'uipement. Cela peut notamment etre le cas lorsque la station de 
communications est realisee sous la forme d'une carte PCI enfichee dans un 
' terminal de communications de type PC. ' ' ■ • ■ « 

Dans Texemple illustre, les terminaux de communications sont des 
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equipements d'utilisateurs UE1 et UE2-k, tels que des ordinateurs fixes ou 
portables. Mais, il pourrait s'agir de tout type de terminal de communications 
capable d'echanger des donnees avec d'autres terminaux ou equipements de 
reseau, comme par exemple des telephones mobiles ou fixes, des 
telecopieurs, des assistants numeriques personnels (ou PDA pour « Personal 
Digital Assistant »), ou des serveurs de fournisseurs de contenus (ou ASP 
pour « Application Service Provider »). 

Par ailleurs, les equipements d'utilisateurs UE2-k sont ici couples au 
routeur R2 d'un reseau prive, tel qu'un LAN (ou « Local Area Network »). 

Bien entendu, les terminaux de communications UE2-k pourraient ne 
pas. etre raccordes a un reseau prive ou public, quel qu'en soit le type. Us 
peuvent en effet etre couples, comme le, terminal de communications UE1 a 
Tune, des stations de communications STi du reseau, directement, par 
exemple par un bus, ou indirectement, par exemple via un hub. Mais, dans v ce 
cas, ils doivent etre equipes de maniere a pouvoir echanger des informations. 

En outre, on considere dans ce qui suit que les stations .de 
communications STi sont des terminaux de satellite agences de manieret a 
echanger des trames de donnees (par exemple de niveau trois J.P) 
encapsulees, selon le protocole. de transmission de niveau deux Ethernet 
Mais, ,bien entendu, ['invention n'est pas limitee a un protocole de 
transmission de niveau deux selon le modele en couches OSL Elle concerne 
tous les protocoles de transmission, et notamment 802.4, 802.5 ou 802.11. 
D'une maniere generate, I'invention concerne plus particulierement les 
protocoles de niveau deux (2) ou trois (3), mais elle concerne egalement les 
protocoles des autres niveaux et notamment ceux des niveaux un /1) (couche 
physique) et sept (7) (couche d J applicatifs). 

Chaque .terminal de satellite STi, comprend un module de 
.. communications Ci charge,, d'une part, de determiner comment acheminer 
des trames vers leurs destinations grace a une table d'acheminement 
habituellement renseignee par apprentissage, et d'autre part. de transmettre 
les trames sur les interfaces air et filaire du reseau satellitaire. La fonction 
d'acheminement est egalement. appelee « pontage » (ou « bridge ») du fait 
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qu'etant chargee de ne traiter que le protocole de transmission Ethernet etle 
se contente d'assurer une fonction de commutation du trafic en fonction des 
adresses physiques ethernet contenues dans les frames. Ce module de 
communications Ci etant bien connu de I'homme de Tart, il ne sera pas decrit 
5 ici en detail, ii est simptement rappele qu'il est defini par la norme IEEE 
802.1d. 

Par ailleurs, chaque equipement d'utilisateur UEi comprend ici un 
systeme d'exploitation ou noyau Ni-k, muni d'au moins une pile de protocoles, 
et une ou plusieurs applications An permettant de delivrer des donnees de 
10 differents types. Par exemple, Tune des applications est de type « voix sur 
IP » (ou VoIP). Mais tout autre type d'application peut etre implante dans un 
terminal de communications UEi, et notamment le multimedia sur IP, la 
messagerie electronique (generalement associee au port 25), et Faeces a 
internet (generalement associe au port 80). 
is Preferentiellement, chaque equipement d'utilisateur UEi comprend 

egalement une interface Cli-k, dediee au controle en temps reel des flux 
reseaux associes aux applications, et une interface graphique Gli-k, par 
exemple de type GUI (pour « Graphical User Interface »). 

L'interface de controle de flux Cli-k est par exemple du type de celle 
20 destinee aux pare-feux (ou « firewalls »), comme par exemple r interface de la 
societe Microsoft, ou les « ipchain » de Linux. Ce type d'interface a ete 
developpe pour permettre a un utilisateur de choisir, grace a une fenetre qui 
s'ouvre de fagon dynamique, le traitement a appliquer a un flux IP, et 
notamment I'autorisation d'acceder a un reseau satellitaire, Tattribution d } une 
2 5 qualite de service, la securisation (authentification et/ou cryptage (ou 
chiffrement)), Tetablissement de session et I'association a des codes 
correcteurs d'erreur. 

Uinvention propose un dispositif dedie au controle de traitement(s), 
comme par exemple la qualite de service (QoS) et la securite, associe(s) a 
30 des flux de donnees issus d'applications implantees dans les equipements 
d'utilisateurs UEi. 

Ce dispositif de controle comporte, d'une premiere part, des moyens 
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de traitement Pi-k charges de delivrer des donnees de service representatives 
d'au moins un traitement associe a une application designee, d'une deuxieme 
part, des moyens detraction Ei-k charges d'acceder au noyau Ni-k d'un 
equipement d'utilisateur UEi-k ayant emis un flux de donnees afin de 
determiner Tapplication associee a ce flux, puis de delivrer aux moyens de 
traitement Pi-k un message designant ('application determinee, et des moyens 
de controle CMi charges, lorsqu'iis regoivent des donnees de service 
delivrees par les moyens de traitement Pi-k, de delivrer des donnees de 
configuration permettant au moins un traitement adapte aux besoins de 
['application associee au flux regu, par le terminal de satellite STi auquel est 
couple I'equipement d'utilisateur UEi-k dont est issu le flux. 

Dans ce qui suit, on considere a titre illustratif que le traitement 
associe a une application porte sur la qualite de service (ou QoS) et/ou la 
securite. v v 

Preferentiellement, comme illustre sur la figure 1, les moyens ^e 
traitement et les moyens d'extraction de chaque dispos.itif de controle sont 
distribues sous forme de modules de traitement Pi-k et d'extraction Ei-k dans 
chaque equipement d'utilisateur UEi-k que ledit dispositif controle. £ar 
ailleurs, les moyens de controle de chaque dispositif sont preferentiellement 
agences sous la forme d'un module de controle CMi implante dans chaque 
station de communications STi. Ainsi, dans I'exemple illustre, le reseau 
satellitaire comporte deux dispositifs de controle. Le premier dispositif 
comporte le. module de controle CM1 , implante dans le terminal de satellite 
ST1, et les modules, d'extraction E1 . et de traitement P1, implantes dans 
I'equipement d'utilisateur UE1. Le second dispositif comporte le module de 
controle CM2, implante dans le terminal de satellite ST2, et les modules 
d'extraction E2-1 et E2-2 et de traitement P2-1 et P2-2, implantes dans les 
equipements d'utilisateurs UE2-1 et UE2-2. 

Mais, on pourrait envisager d'implanter un dispositif de controle dans 
chaque equipement d'utilisateur UEi-k ou^ dans chaque station de 
communications STi. 

Dans la pratique, chaque module d'extraction Ei~k observe tous les 
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flux de donnees qui entrent et qui sortent de I'equipement UEi-k dans lequel il 
est implante. A cet effet, le module d'extraction Ei-k est preferentiellement 
implante dans les piles de protocoles du noyau Ni-k. II peut notamment agir 
comme un « hook » ou un pilote (ou « driver »). 

Par ailleurs, chaque module d'extraction Ei-k determine 
preferentiellement I'application An qui est associee a un flux par 
I'intermediaire de I'interface de controle Cli-k. 

A chaque paquet IP correspond en effet un connecteur (ou 
« socket ») qui est ouvert dans un equipement UEi-k identifiable par son 
numero de port. Et la correspondance entre le port, le connecteur (ou socket) 
et Tidentifiant de I'application est disponible par le biais de fonctions mises a 
disposition par le systeme d'exploitation Ni-k de I'equipement UEi-k. 

Par exemple, dans le cas du systeme d'exploitation Windows XP, on 
peut utiliser la fonction « AllocateAndGetTcpExTableFromStack() » de la DLL 
iphlpapi. De meme, dans le cas du systeme d'exploitation Linux, on peut 
utiliser la fonction de lecture du fichier « /proc/xx/fd ». 

Preferentiellement, chaque module d'extraction Ei-k maintient a jour 
une table de correspondance entre des identifiants de flux et des identifiants 
duplications a partir des donnees d'informations qu'il obtient dans le noyau 
Ni-k lorsqu'il accede a I'interface de controle Cli-k. Cela peut lui permettre de 
determiner plus rapidement ['application qui est associee a un flux qu'il vient 
de detecter et dont il vient d'identifier le type. 

Comme indique precedemment, lorsqu'un module d extraction Ei-k a 
determine ['application associee a un flux, il adresse au module .de traitement 
Pi-k, auquel il est couple, un message designant I'application determinee, de 
sorte qu'il puisse a son tour determiner les donnees de service (ou contexte), 
representatives de la qualite de service et/ou de la securite, associees a cette 
application. 

Pour determiner les donnees de service associees a I'application 
designee dans uh message regu, le module de traitement Pi-k interroge 
preferentiellement une table de correspondance entre les ' applications, 



1 er depot 

11 

repertories au sein de Tequipement d'utilisateur UEi-k, et les donnees de 
service. Cette table de correspondance (ou table de contexte) est 
preferentiellement stockee dans une memoire Mi-k de Tequipement UEi-k 
concerne. 

Par ailleurs, chaque table de contexte est preferentiellement 
maintenue a jour par chaque module d'extraction Ei-k a partir de donnees 
d'informations fournies par I'utilisateur de Tequipement UEi-k soit sous la 
forme d'un fichier de configuration, soit par Tintermediaire de Pinterface 
graphique Gli-k de Tequipement UEi-k. Bien entendu, dans une variante la 
mise a jour de la table de contexte pourrait etre effectuee par le module de 
traitement Pi-k. 

Lorsque la table de contexte ne comporte pas de donnees de service 
(ou contexte) correspondant a ('application assdciee au flux, le module de 
traitement Pi-k est preferentiellement agence de maniere a adresser a.Xin 
utilisateur, < via Tinterface graphique Gli-k de son equipement UEi-k, yjn 
message iui demandant de fournir lesdites donnees de service. Celles r ci 
peuvent etre ensuite .eventueliement integrees dans la table de contexte, 
apres une eventuelle autorisation de Tutilisateur. ^ 

Lorsqu'un module de traitement Pi-k a determine le contexte (oy^es 
donnees de service) associe(es) a Tapplication, il delivre au module de 
controle CMi, qui est implante dans le terminal de satellite, STi auquel est 
couple Tequipement d'utilisateur UEi-k dont est issu le flux, des donnees de 
configuration permettant de configurer ledit terminal de satellite STi. Cette 
configuration est destinee a permettre au terminal de satellite STi de mettre a 
disposition du flux a transmettre des ressources adaptees aux besoins de 
qualite de service et/ou de securite de Tapplication a laquelle il est associe. 

La transmission des. donnees de configuration, entre un module de 
traitement Pi-k et un module de controle CMi, s'effectue preferentiellement 
selon un protocole de communication choisi au moins parmi le protocote 
SNMP, le . protocole XML et le protocole RSVP ou Tune de ses extensions. 
Mais, bien entendu, on pourrait egalement utiliser un protocole, proprietaire. 

Trois exemples d'echange de donnees de configuration sont donnes 
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ci-apres a titre illustratif, noh limitatif. Ces trois exemples correspondent 
respectivement au protocole XML, a un protocole proprietaire et a une 
extension des messages du protocole RSVP. 

Dans fexemple d'un protocole base sur un code XML, on utilise une 
fonction optimisee de messagerie entre I'agent utilisateur Pi-k, de 
I'equipement UEi-k, et I'agent de controle CMi, du terminal de satellite STi, 
s'appuyant sur des sockets UDP transportant des structures XML. 

Le message contenant les donnees de configuration, qui est indique 
ci-apres et qui est envoye par I'agent utilisateur Pi-k au terminal de satellite 
STi, demande a son module de controle CMi de provisionner une qualite de 
service (QoS) de type Constant Bit Rate (CBR) de 64kbit/s pour le flux IP 
dans le sens allant du terminal de satellite STi vers le satellite SAT, et de 
securiser la transmission sur le lien satellite avec une liaison de type IPSec 
ESP (a clef de 128 bits dynamique). L'agent utilisateur Pi-k est identifie par un 
numero de session (56), et le message est signe. 

<?xml version="1.0" encoding^lSO-SSSQ-l^ 

<UserSTProtocol Version^ "1.0" > 

<Sessionld>56</Sessionld> 

<Command type= « SetQoS »> 

<SetQoS> 

<StreamDescription> 

<IPSrc>134.67.89.23</IPSrc> 

<IPDst>1 34.67. 23.85</IPDsr> 

<PortSrc>6734</PortSrc> 

<PortDst>80</PortDsr> 

</StreamDescription> 

<QoS> 
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<CBR>64000</CBR> 
</QoS> 

<Direction>ln</Direction> 
</SetQoS> 
</Command>- 

<Comnnand type= « SetSecurity >>> 
< SetSecurity > 

<StreamDescription> 
— " <IPSrc>t34.67.89.23</iPSrc> . 

<IPDst>1 34.67.23. 85</IPDsr> 
<PortSrc>6734</PortSrc> 
<PortDst>80</PortDsr> 
</StreamDescription> • < 

<IPSec> . , , i<- 

<Algo>ESP</ Algo > 
<Key type= « generated »■> 
<KeyLength>128</ KeyLength > 
</Key> 
</ IPSec > 

<Direction>Bidirectionnal</Direction> 
</ SetSecurity > * ' 
</Command> fc 

<Signature> BE13 C061 DE4B CB99 7B5C 42EA 1F48 2997 A35C 
D07B </Signature> 
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</UserSTProtocol> 

Dans I'exemple d'un protocole base sur une messagerie proprietaire, 
on peut utiiiser une fonction optimisee de messagerie entre I'agent utilisateur 
Pi-k, de I'equipement UEi-k, et I'agent de controle CMi, du terminal de satellite 
STi, s'appuyant sur des sockets UDP transportant des structures C. 

Enum CommandType { 

Unknown=0, 

MsgStatusOk=1, 

MsgStatusKO=2, 

SetQos=3, 

SetSecurity=4, 

} 

ProtocoleDataUnit { 

Uintl 6 Version = 1 ; 

Uint32 sessionld = 56 ; 

Uint32 msgld = 5 ; 

Uint32 CommandType= SetQoSId ; 

SetQoS { 

Uint8 lpSrc[4]= 134.67.89.23 ; 

Uint8 lpDst[4]= 134.67.89.23 ; 

Uintl 6 PortSrc = 6734 ; 

Uint16PortDst = 80; 

Uint32 CBR=64000 ; 
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Uint32 VBR=0 ; 
Uint32 UBR=0 ; 
Uint32 DirectiorNn ; 

} 

Uint8 Signaturef ]=BE13 C061 DE4B CB99 7B5C 42EA 1F48 2997 
A35C D073 

} ' 

ProtocoleDataUnit { 
Uint16 Version = 1 ; 
Uint32 sessionld = 56 ; 
Uint32 msgld = 6; 

Uint32 CommandType= SetSecurity; 

ir. 

SetSecurity { 

Uint8 lpSrc[4]= 134.67.89.23 ; ' 
Uint8 lpDst[4]= 134.67.89.23 ; 
Uint16PortSrc = 6734 ; 
Uint16PortDst = 80; 

Uint32 Algo=ESP ; 
Uint32 KeyLength=128 ; 

Uint32 Key [128]= { 0.....0}// generated 

} 

Uint8 Signature[ ]=BE13 C061 DE4B CB99 7B5C 42EA 1F48 2997 
A35CD073 
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Le troisieme exemple est base sur le protocole RSVP qui est defini 
par la norme RFC 2205. Son principal interet reside dans son interaction avec 
certains routeurs qui peuvent prendre en compte ou ignorer les extensions, 
permettant ainsi une reservation de bande passante et une securisation de 
bout en bout ou par trongon. 

II est rappeie que les flux IP sont definis par la norme RFC 2210 et 
que I'authentification des messages RSVP est definie par la norme RFC 
2747. En outre, les messages sont ici transportes dans les extensions de 
messages RSVP. 

Par exemple, dans le cas de donnees de configuration 
representatives de la securite, lors du passage d'un message PATH, le 
terminal de satellite STi ajoute dans les champs prives qui encapsulent les 
donnees utiles (ou pay load) toutes les informations utiles a leur identification. 
La securisation du lien satellite demarre done a la reception d'un message 
RSVPRESV. 

Pour une securite a u niveau IP, les flux sont deja decrits, mais les 
adresses des terminaux de satellite STi ne peuvent etre connues que grace 
aux informations contenues dans un paquet RSVP RESV. En revanche, pour 
une securite au niveau deux (2), de type Ethernet ou paquet satellite, les 
adresses ou les labels source et destination peuvent etre ajoutes dans ce 
paquet RSVP PATH et repris dans le message RSVP RESV. 

Par exemple, dans le cas de donnees de configuration 
representatives de la qualite de service (QoS), les demandes de QoS sont 
actualisees dans les messages RSVP PATH, et appliquees a reception du 
message RSVP RESV. 

Uoptimisation de la messagerie, les reservations de ressource et 
I'etablissement d'un lien satellite securise peuvent se faire avec des 
cadenceurs (ou « timers ») eleves ou de fagon semi-statique (en cas de 
liberation sur demande). 
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Un exemple d'utilisation de messages RSVP pour la securisation d'un 
lien satellite est illustre sur la figure 2. 

Dans cet exemple, ('application A1, tournant sur I'equipement 
d'utilisateur UE1, d'adresse internet IP1, envoie des donnees a destination de 
I'equipement d'utilisateur UE2, d'adresse internet IP2, en utilisant le protocole 
Internet IP. A cette application A1 est associe le traitement suivant : 
« Securiser sur la liaison satellite entre les stations ST1 et ST2 ». Les 
donnees peuvent commencer a etre emises sans securite et etre securisees 
en cours de transmission, ou etre bioquees par I'equipement UE1 tant qu'il n'y 
a pas eu confirmation de la securite du lien (comme dans I'exemple illustre). 

Un paquet RSVP PATH a destination de I'equipement d'utilisateur 
UE2 est done construit par I'equipement d'utilisateur UE1. Ce paquet contient 
la description du flux IP et des extensions precisant le traitement a lui 
appliquer. Ce paquet est envoye vers la station ST1 en respectan%le 
protocole de routage IP (fleche F1). 

La station ST1 interprete les extensions RSVP du message PATH^et 
y ajoute eventuellement des informations sur son adresse satellite. Puis, elle 
fait suivre le message vers la station ST2 en utilisant le reseau satellite (fleche^ 
F2). . ^. 

La station ST2 interprete les extensions RSVP du message PATH, et 
y ajoute eventuellement des informations sur son adresse satellite. Puis, elle 
fait suivre le message vers I'equipement UE2 (fleche F3). 

La partie de I'equipement UE2 chargee de RSVP interprete le 
message RSVP PATH, et renvoie vers la station ST2 un message RSVP 
RESV qui reprend les informations du message PATH (fleche F4). 

La station ST2 interprete les extensions RSVP du message RESV, et 
initialise la securisation du lien satellite entre ST1 et ST2. Puis, elle fait suivre 
le message vers la station ST1 (fleche F5). 

La station ST1 interprete les extensions RSVP du message RESV, y 
ajoute la confirmation de la securisation du lien satellite avec la station ST2, et 
fait suivre le message a I'equipement UE1 (fleche F6). 
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L'equipement d'utilisateur UE1 regoit alors la confirmation de la 
securisation de la liaison, et peut echanger des donnees avec I'equipement 
d'utilisateur UE2 sur la liaison satellite, securisee entre les stations ST1 et 
ST2 (fleches F7, F8 et F9). 

Par exemple, le module de controle CMi-k configure la couche MAC 
satellite (pour « Medium Access Contrl ») de Tune des piles de protocoles du 
terminal de satellite STi de sorte que le traitement puisse etre applique au flux 
IP. Cela consiste plus precisement a prioriser et/ou crypter au sein de la 
couche MAC satellite les adresses source et destination et les ports source et 
destination. 

La station ST peut effectuer n'importe quel traitement sur des flux. II 
peut notamment s'agir d'une priorisation de certains flux, d'une QoS sur 
certains flux, d'une suppression de flux indesirable(s), d'un chiffrement ou 
d'une signature de flux, et analogues. 

Par ailleurs, ces flux peuvent etre, notamment, de niveau IP, ATM, 
Ethernet, MPLS, satellite, applicatifs, et analogues. 

Le dispositif de controle selon ['invention peut non seulement 
permettre le controle de flux dits sortants, comme decrit ci-dessus, mais il 
peut egalement permettre le controle de flux dits entrants et de flux dits 
bidirectionnels. 

Plus precisement, chaque module de traitement Pi-k est 
preferentiellement agence de maniere a delivrer au module de controle CMi 
auquel il est couple, des donnees de service representatives de la qualite de 
service et/ou de la securite associee(s) a un flux d'application qui doit etre 
regu par le module de communications Ci du terminal de satellite STi dans 
lequel il est implante. De la sorte, le module de controle CMi peut configurer le 
terminal de satellite STi de sorte qu'il reserve pour le flux entrant, qui doit 
prochainement arriver d'un terminal de communications ST distant, des 
ressources, d'un lien satellite allant du terminal de satellite distant vers lui- 
rneme, adaptees aux besoins de qualite de service et/ou de securite de 
1'application a laquelle leditflux entrant est associe. 
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Dans le cas d'une demande de reservation de ressources associees 
a une liaison bidirectionnelle, le module de traitement Pi-k est 
preferentiellement agence de maniere a delivrer au module de controle CMi 
auquel il est couple, des donnees de service representatives de la qualite de 
service et/ou. de la securite associee(s) a des flux duplication sortants et 
entrants. De ia sorte, le module de controle CMi peut configurer son terminal 
de satellite STi de sorte qu'il reserve, tant pour les futurs flux sortants que 
pour les futurs flux entrants, des ressources, d'un lien satellite bidirectionnel, 
adaptees aux besoins de qualite de service et/ou de securite de I'application a 
laquelle lesdits flux entrants et sortants sont associes. 

Par ailleurs, il n'est pas obligatoire que Taction du dispositif sur un flux 
de paquets, par exemple de type IP, cqncerne I'integralite des paquets de ce 
flux. On peut en effet envisager que les premiers paquets d'un flux soient 
transmis par le terminal de satellite STi sans securite et/ou sans qualite, de 
service, et que la securite et/ou la qualite de service soient instaurees «ja la 
volee » pour les paquets suivants. On peut egalement envisager un mode de ' 
fonctionnement de type « bloquant »; dans lequel les premiers paquets d'un 
flux sont mis en attente tant que la securite et/ou la qualite de service n'ont 
pas ete instaurees (ou en d'autres termes tant que le trajet securise et/ou la 
bande passante n'ont pas ete reserves). 

En outre, il est possible d'utiliser des marquages de type Diffserv pour 
permettre la differenciation de flux au niveau d'un terminal de satellite STi. Le 
protocole Diffserv permet en effet d'utiliser des bits de I'entete d'un flux IP 
pour preciser le type de ce flux. Dans ce cas, chaque module d'extraction Ei-k 
(de preference) peut etre. agence de maniere a imposer aux paquets IP, qu'il 
observe au niveau du noyau Ni-k, un marquage Diffserv coherent avec les 
besoins de ('application associee et bien entendu avec les capacites du 
reseau satellitaire. Le module de traitement Pi-k doit ensuite signaler au 
module de controle CMi que le marquage Diffserv utilise est coherent et doit 
etre pris en compte. Dans ce cas, les marquages des flux IP qui ne sont pas 
du meme type sont ignores et ces flux IP sont geres avec la qualite de service 
par defaut. 
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II est important de noter que le module de controle CMi d'une station 
peut fonctionner de fagon autonome, ou de fagon distribute. Dans ce dernier 
cas, il delivre ses donnees de configuration apres avoir regu une autorisation 
(ou une confirmation) d'un serveur central tel qu'un gestionnaire de bande 
passante (ou « bandwidth broker ») ou un NCC (pour « Network Control 
Center »), ou encore un serveur de cles charge de distribuer des cles pour 
securiser des liens (ou liaisons). 

Le dispositif de controle, et plus precisement ses modules de 
traitement P, d'extraction E et de controle C, ainsi qu'eventuellement chaque 
memoire M, peuvent etre realises sous la forme de circuits electroniques, de 
modules logiciels (ou informatiques), ou d'une combinaison de circuits et de 
logiciels. Le fonctionnement de base du dispositif de controle selon Hnvention 
peut etre resume par Pexemple decrit ci-dessous. 

Un utilisateur lance par exemple une application ftp implantee dans 
son equipement d'utilisateur UE1 afin de transferer (ou « upload ») un fichier 
vers le serveur de son reseau. L'application ftp envoie alors un premier 
paquet IP pour etablir une liaison TCP avec ledit serveur. 

Le module d'extraction E1 implante dans I'equipement UE1 detecte le 
premier paquet IP au niveau du noyau N1 de son equipement UE1, et 
recupere toutes les informations qui lui sont associees (adresses IP, ports, 
references de I'application ftp, nom, icone, etc) afin d'identifier ('application. II 
adresse ensuite au module de traitement P1 auquel il est couple un message 
designant I'application ftp. 

Le module de traitement P1 determine alors dans la table.de contexte 
de la memoire M1 s'il existe des donnees de service (ou contexte) associees 
a ('application ftp. Si par exemple ce n'est pas le cas, il ouvre une fenetre de 
dialogue grace a I'interface graphique GI1 de I'equipement UE1 pour 
demander a Tutilisateur les donnees de service (ou contexte) qu'il desire 
associer a ['application ftp. Par exemple, Tutilisateur desire un debit de 100 
kbits/s et le chiffrement (ou cryptage) de la communication. 

Une fois en possession du contexte de I'application ftp, le module de 
traitement P1 dialogue avec le module de controle CM1 implante dans le 
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terminal de satellite ST1 pour lui fournir ledit contexte et lui permettre de 
configurer la couche MAC satellite et permettre au terminal de satellite ST1 de 
traiter le flux IP. L'utilisateur peut eventuellement controler le debit reel 
entrant/sortant de son equipement UEt , et decider de modifier le contexte 
associe au flux IP de Tapplication ftp. 

L'invention ne se limite pas aux modes de realisation de reseau, de 
station de communications, de terminal de communications et de dispositif de 
controle decrits ci-avant, seulement a titre d'exemple, mais elle englobe toutes 
les variantes que pourra envisager i'homme de Tart dans le cadre des 
revendications ci-apres. 

Ainsi, dans ce qui precede il a ete decrit une application de l'invention 
■ aux reseaux de communications de type satellitaire. Mais l'invention. concerne 
tous les reseaux dans lesquels it est possible d'associer au moins un 
traitement particulier a un flux de donnees. ^ . 
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REVENDICATIONS 

1. Dispositif de controle de traitement(s) associe(s) a des flux de 
donnees duplications, pour un reseau de communications comprenant des 
stations de communications (STi) propres a echanger entre-elles des flux de 
donnees et coupiees a des terminaux de communications (UEi-k) munis d'au 
moins une application (An) et d'un noyau (Ni-k) contenant des donnees 
d'informations representatives desdites applications, caracterise en ce qu'il 
comprend i) des moyens de traitement (Pi-k) agences, a reception d'un 
message designant une application, pour delivrer des donnees de service 
representatives d'au moins un traitement associe a ladite application 
designee, ii) des moyens d'extraction (Ei-k) agences, a reception d'un flux de 
donnees ernis par un terminal de communications (UEi-k), pour acceder au 
noyau (Ni-k) dudit terminal de maniere a determiner I'application associee 
audit flux regu, puis delivrer auxdits moyens de traitement (Pi-k) un message 
designant ladite application determinee, et iii) des moyens de controle (CMi-k) 
agences, a reception de donnees de service delivrees par lesdits moyens de 
traitement, pour delivrer des donnees de configuration propres a permettre au 
moins un traitement adapte aux besoins de I'application associee au flux regu, 
par la station de communications (STi) a laquelle est couple le terminal (UEi- 
k) duquel est issu ledit flux. 

2. Dispositif selon la revendication 1, caracterise en ce que chaque 
noyau (Ni-k) de terminal de communications (UEi-k) comportant une interface 
(Cl-k) de controle en temps reel des flux reseaux. associes auxdites 
applications, lesdits moyens d'extraction (Ei-k) sont agences, a reception d'un 
flux de donnees, pour acceder a ladite interface de controle (Cl-k) de maniere 
a determiner I'application associee audit flux regu. _ 

;3. Dispositif selon i'une des revendications 1 et.2, caracterise en ce 
qu'il comprend des moyens de memorisation (Mi-k) propres a stocker une 
.table de correspondance entre lesdites applications et lesdites donnees de 
service, et.en ce que lesdits moyens de traitement (Pi-k) sont agences, a 
reception d'un message designant une application, pour acceder auxdits 
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moyens de memorisation (Mi-k) de maniere a determiner des donnees de 
service stockees en correspondance de ladite application designee. 

4. Dispositif selon la revendication 3, caracterise en ce qu'en 
I'absence, dans lesdits moyens de memorisation (Mi-k), de donnees de 
services stockees en correspondance d'une application designee, lesdits 
moyens de traitement (Pi-k) sont agences pour adresser a un utilisateur, via 
une interface graphique (Gl-k) du terminal de communications (UEi-k) dans 
Sequel lesdits moyens d'extraction (Ei-k) sont implantes, un message 

requerant lesdites donnees de service associees a I'application designee. 

5. Dispositif selon Tune des revendications 3 et 4, caracterise en ce 
que lesdits moyens d'extraction (Ei-k) sont agences pour mettre a jour ladite 
table de correspondance en fonction d'informations regues. 

6. Dispositif selon la revendication 5, caracterise en ce que lesdites 
informations de mise a jour sont contenues dans un fichier de . configuration 
regu par le terminal de communications (UEi-k) dans lequel lesdits moyens 
d'extraction (Ei-k) sont implantes. ^ - 

7. Dispositif selon- la revendication 5, caracterise en ce que lesdites 
informations de' mise a jour sont delivrees par une interface graphique (Gl-k) 
du terminal de communications (UEi-k) dans lequel lesdits -poyens 
d'extraction (Ei-k) sont implantes. 

8. Dispositif selon Tune des revendications 1 a 7, caracterise en ce que 
lesdits moyens d'extraction (Ei-k) sont implantes dans une pile de protocoles 
d'uh noyau (Ni-k) de terminal de communications (UEi-k). 

9. Dispositif selon Tune des revendications 1 a 8, caracterise en ce 
que, chaque station de communications (STi) possedaht au moins une pile de 
protocoles agencee en couches, dont une couche MACV lesdits- moyens de 
controle (CMi) sont agences, a reception de donnees de service, pour delivrer 

1 des donnees de configuration propres a configurer ladite couche MAC en 
fonction des besoins associes a un flux a transmettre ou a recevoir.. 

* 10. "Dispositif selon Tune des revendications 1 a 9, caracterise en ce que 
lesdits moyens de traitement (Pi-k) sont agences pour delivrer auxdits 
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moyens de controle (CMi) des donnees de service representatives d'au moins 
un traitement associe a des flux a recevoir d'une application implantee dans 
un terminal de communications (UEi-k) distant. 

11. Dispositif selon Tune des revendications 1 a 10, caracterise en ce 
que lesdits moyens de controle (CMi) sont agences pour delivrer iesdites 
donnees de configuration a reception d'une autorisation delivree par un 
serveur central dudit reseau. 

12. Dispositif selon Tune des revendications 1 a 11, caracterise en ce 
que lesdits moyens de traitement (Pi-k) et lesdits moyens de controle (CMi) 
sont agences pour echanger des messages de service contenant Iesdites 
donnees de service selon un protocole d'echange choisi parmi un protocole 
proprietaire, le protocole SNMP, le protocole XML et le protocole RSVP. 

13. Dispositif selon Tune des revendications 1 a 12, caracterise en ce 
que ledit traitement est choisi dans un groupe comprenant au moins la qualite 
de service, le chiffrement, I'authentification, I'etablissement de session, la 
priorisation de flux et la suppression de flux. 

14. Terminal de communications (UEi-k), caracterise en ce qu'il 
comprend des moyens d'extraction (Ei-k) et des moyens de traitement (Pi-k) 
d'un dispositif de controle selon Tune des revendications precedentes. 

15. Terminal de communications (UEi-k), caracterise en ce qu'il 
comprend un dispositif de controle selon Tune des revendications 1 a 13. 

16. Station de communications (STi), caracterisee en ce qu'elle 
comprend des moyens de controle (CMi) d'un dispositif de controle selon 
Tune des revendications 1 a 13. 

17. Station selon la revendication 16, caracterisee en ce qu'elle est 
agencee sous la forme d'un terminal de satellite. 

18. Reseau de communications, caracterise en ce qu'il comprend une 
multiplicity de stations de communications (STi) et de terminaux de 
communications (UEi-k) selon Tune des revendications 14 a 17. 

19. Reseau de communications selon la revendication 18, caracterise 
en ce qu'il est choisi dans un groupe comprenant au moins les reseaux 
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sateilitaires et les reseaux sans fil. 
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